Last update
2017.01.03
ルータ
YAMAHA RT
シリーズで本のとおり設定しても外部から telnet
でリモートメンテナンスで来てしまう。「実践インターネットサイト構築技法/P.79」「LANの教典/P.160」
ルータのパケットフィルタに Port:137
がしょっちゅう引っかかっているが、これはクラックの兆候なのか?「実践インターネットサイト構築技法/P.236」
「ip filter 100 pass * *」はどういった意味で、何故必要なのか?「実践インターネットサイト構築技法/P.237」
NTTから16以外のアドレス空間を割り当てられた場合のCIDRの記入は?「実践インターネットサイト構築技法/P.68」
ip pp route add net default 1の意味は?「実践インターネットサイト構築技法/P.79」
メールサーバ
IMSでパスワードがエラーになってしまう。「実践インターネットサイト構築技法/P.150」
商業プロバイダのダイヤルアップから自社(自宅)のメールサーバに届いているメールが受信出来ない。
DNS
本の中では MS-DNS について書いてあるが、BIND
の方が良いのではないか?「実践インターネットサイト構築技法/P.111」
メールサーバを独立させたいのだか、どうすれば良いのか?「実践インターネットサイト構築技法/P.111」
OCN のセカンダリDNSサーバにゾーン転送されない。(外部からのメールが届かない、アクセス出来ない等)「実践インターネットサイト構築技法/P.124」
MS-DNSのドメインサービスマネージャで逆引を見るとPTRレコードが「210.145.140.144.145 PTR router.murashima.matsudo.chiba.jp」みたいにゴミがついて表示される。「実践インターネットサイト構築技法/P.126」
MS-DNSで逆引きをエディタで登録した後エラーなり
MS-DNS が起動しない。「実践インターネットサイト構築技法/P.126」
ゾーン転送を確認しようと nslookup
で OCN側のセカンダリ DNS 引くと(タイムアウト)エラーになる。「実践インターネットサイト構築技法/P.137」
WINSを停止したらMS-DNSのドメインサービスマネージャでDNSがメンテナンス出来ない。また、これに関する本の記述がよくわからない。「実践インターネットサイト構築技法/P.233」
その他
本に書いてある URL
に目的のパッチが無い。「実践インターネットサイト構築技法/P.99」
OCNエコノミーでプロバイダモドキをやりたい、会員数はどのくらいまで大丈夫なのか?
専門用語が分からない。
ウチのサイトには侵入されて困るような情報が無いからセキュリティは不要だと思うのだが....
本で扱ったソフトの Y2K 問題はどうなっている?「実践インターネットサイト構築技法」
ルータ
私の認識不足でした m(_ _)m
security class 2 は RT シリーズの機能である remote setup
を制限するだけで、外からの telnet
を制限する機能ではありません。外からの telnet
を禁止する場合はフィルタで落とす必要があります。telnet
を禁止した設定(RT80i/RT102i)をアップしたので参考にして下さい。
この件に関して、小生も不審に思い IPAとJPCERT/CCに問い合わせてみました。結論から言って心配なさそうです。
Port137はWindows NT の NetBIOS が WINS
の逆引き時に吐いてるケースがほとんどであるらしいです。更に、Windows系のOSを狙ったアタックツールは137以外に138、139もアクセスするので137のみのアクセスであれば無視してかまわないですね。
RedButtonは137以外に139も見に来ますので、139も引っかかってたら要注意です。
YAMAHA RT
シリーズは「フィルタ処理に引っかからなかったパケットは破棄する」仕様になっています。つまり、最後に「reject
フィルタで処理されなかったパケットを通過させるフィルタ」が存在しないとパケットが外に出ることが出来ません。100
を使った意味はあまりありません。RT
シリーズが扱えるフィルタ数の上限が 100 なので 100
に割り当てました。もちろん他の番号を使って、secure filter
の末尾に記入しても問題ありません。
CIDR のページをご覧ください。
ルータの設定は本来「このアドレスは何処に転送する(経路設定)」って定義を記述してやるものです。企業や学校内部で使う場合、転送先が全て分かっているので、ルータの設定にはすべての宛て先を記述します。これを「スタテックルーティング」と呼びます。
相手先が全て把握出来ている場合はこの手法でも良いのですが、インターネットの場合は相手先を全て把握することは不可能ですね。このような環境ではルータが自動的に経路を学習しなくてはいけません。これを「ダイナミックルーティング」と呼びます。自動学習方法は「RIP」とか色々ありますので、ご興味がおありでしたら「マスタリングTCP/IP入門編」に詳しく解説してありますのでそちらを読んでください。
ここまでは、複数の回線が入っておりルータが経路を選択する必要がある場合です。つまり、プロバイダや学校などが該当します。OCNの末端回線の場合、ルーティング先はこちらのネットワークかインターネットの2つしか存在しませんので「全ての宛て先(default)を反対側に転送する」設定で
OK ですね。
OCN 回線では NTT の局ルータがスタテックルーティングなので
RIP 等の設定は不要です。
メールサーバ
小生は経験したことないのですが、LANカードとの相性があるみたいです。どうしても原因が特定出来ない時は
LAN カードを交換してみて下さい。少なくとも 3Com の Fast Ether Link XL 3C900 と Intel の Ether Exprss PRO/100 Model B
では問題無く動いています。
何度もパスワードエラーを起こすと IMS
レベルでアカウントロックアウトにされてしまいます。おかしいなと思ったら、メールサーバの受信者のメールボックスを開いてみて下さい。妙なファイル(いかにもロックアウト用だと分かるファイル名)がありますので、こいつを削除すると
IMS レベルのロックアウトが解除されます。
メールサーバに対するクラック対策でプロバイダがセキュリティ強化している場合にこの現象が発生します。加入しているプロバイダに確認して下さい。
DNS
アンチ MS の方に言わせると「MS製のDNSなんか言語道断」と言われていますが、小生が使っている限りこれといった障害は発生していません。MSKK
が発行している修正モジュールを常に注意していればさほど問題にはなりません。
聞く話では、「CPUを使い切る事がある」とか「長期間(3ヶ月以上)稼働させると不安定になる」との話を聞きます。もっとも
NT Server 自体がそんなに堅牢な(長時間運転に耐えられる)OSではないので、2ヶ月に一度ぐらいは
reboot するのが良いです。
では、なぜ MS-DNS を選択したかというと、GUI 育ちの DNS
初心者には「エディタ中心で DNS
を構築する」のが思いのほか苦痛になるからです。「DNSで色々遊んでみよう」とか「BIND完全互換の仕様じゃないと嫌だ」と言われる方は
MS-DNS で DNS の仕組みに慣れてから BIND
に移行するのが最善だと思います。
UNIX 育ちの方は、いきなり BIND の方がすっきりすると思いますが....
(^^)
詳しくは次の本で紹介する予定ですが、簡単に解説すると DNS
にメールサーバ用の A と PTR レコードを作り、A レコードに対する
MX レコードを作れば OK です。BIND
用この手の設定方法を書いる本は数多くありますので、お急ぎの方は書店で物色してみて下さい。DNSの設定方法が理解出来ていれば
MS-DNS でも設定出来ると思います。
本の記述では SOA
レコードの管理者メールボックス名に入れるメールアドレス体系は「アカウント@ドメイン名」とありますが、これは「アカウント.ドメイン名」の誤りです。これが違うと
OCN のセカンダリ DNS
にゾーン転送されない場合があるようなのでご注意ください。
公開 DNS に WINS
を設定しても同様にゾーン転送されなくなりますので、公開 DNS には WINS を付けてはいけません。
これは MS-DNS の仕様です(^_^;
というか、元々 ClassC 未満に完全対応していない DNS を強引に
ClassC 未満で稼働させているが故の問題です。拙宅のDNSも同様に表示されていますが問題無く稼働しています。
IP アドレス不足から CIDR
体系で切り分ける事が多くなっているので、そのうち MS-DNS も ClassC
未満に完全対応するんじゃないかと予想しています。
エディタによってはファイルに「EOF」をつける製品があります。EOF付きのゾーンファイルだと
MS-DNS がエラーを起こして起動しなくなります。メモ帳はEOF付けないので心当たりがある場合はメモ帳でエディットして下さい。ちなみに小生は秀丸エディタを愛用しています。
インターネット直結(Proxyの外)のパソコンから nslookup
しないとエラーになります。つまり、インターネットサーバから
nslookup すれば良い訳ですね。
原因は不明ですが、インターネットサーバから nslookup しても ls
がエラーになる場合があります。OCN側がセキュリティ設定しているのかなぁ...
この場合は、個別に正/逆引きして OK
なら正常動作していると判断して下さい。
本の記述は「イントラネット側のアドレスかコンピュータ名でサーバを登録する」って意味ですが確かに簡単に書きすぎてますね
(^◇^ヾ
具体的には...
インターネット側から見たサーバのアドレスが 210.145.140.146、イントラネット(LAN)側から見たサーバのアドレスが192.168.33.2、インターネットサーバ名がINTERNETSERVER、だと仮定します。
この場合 DNSマネージャに登録されているサーバ名は現在
210.145.140.146 になっている筈ですが、こいつが DNS
マネージャから見えなくなってしまう(×印になる)ので、新しいサーバとして
192.168.33.2 又は INTERNETSERVER を DNS マネージャに登録します。
その他
インターネットサイトは運営側の都合で常に構造が変化しています。なのでリンクが変更になるのは日常茶飯事になっていますが、一度印刷した活字はそう簡単に変更出来ないんですょ...
(^_^;
拙宅のサイトからのリンクは可能な限りメンテナンスしていますので、こちらを最新として下さい。もしリンクがなくなっているのを発見された方は、ご一報いただければ幸いです。
ダイヤルアップに使うモデムのパフォーマンスにもよりますが、1回線を28.8Kbpsに絞ったとしても
OCN エコノミー回線の場合、4~8人が同時接続するのが限界でしょう。これ以上の同時接続はかなりキツイと予想されます。
仮にダイヤルアップの稼働率が20%だとすると 40人
程度の会員数が限界となりますね。
拙著の本はあまり初心者向けではないのですが、最近ネットワークやパソコンそのものが初めてと言う方もよく買われているようです。筆者としては嬉しい限りなのですが、用語説明に多くの時間を割くことができません。申し訳ありませんが、情報処理辞典(最近はネットワーク系を強化したタイプも出ています)をご購入ください
m(_ _)m
クラッカーの目的は「侵入/破壊」が一般的なのですが、そのまま侵入してしまうと侵入経路がバレてしまう(つまり、簡単に足がついてしまう)ので、どこかのサイトを経由する等の工夫をして自分の存在を隠すのが常套手段となっています。このとき経由に使われるサイトを「踏み台サイト」などと呼んでいますが、クラックされた方から見ると踏み台サイトにクラックされた様に見えますね。
ここまで書けばもうおわかりでしょう。セキュリティ管理の甘いサイトは、他のサイトの迷惑になるだけではなく常に冤罪の危険性にさらされているのです。冤罪を晴らすのは大変ですょ。
CSM Proxy Server の Y2K
問題についてダイヤセミコンさんから回答がありましたのでこちらでアナウンスします。
<< 対応済み >>
・CSM ProxyServer4.1J最終版(パッチ5)
4.1J最終版(パッチ5)ダウンロードURL
http://www.mnc.co.jp/download/index.htm
・CSM ProxyServer4.2J
<< 非対応 >>
・ CSM ProxyServer3.5J
・ CSM ProxyServer4.0J
詳しいことはは http://www.mnc.co.jp/dss/2000.htm
をご覧ください。
MS 製品は MS
サイトから死ぬほどパッチが出てますので、こちらを適用してください。
IMS は... わかりません (^^;
ちなみに小生は市販品のメールサーバに乗り換えてます。(裏切り者といわないで
^^;)
Copyright © MURA All rights reserved.